Štěpán Nadrchal

Chráníme si svoje data?

12. 07. 2017 15:33:19
V návaznosti na předchozí článek, kterým zpochybňuji praktický přínos GDPR, se dostávám k jádru věci: ochranu našich soukromých dat nezajistí žádná směrnice, ale jenom my sami.

GDPR naše data neochrání. Dává sice společnostem povinnost je lépe data o nás chránit a omezí legální obchodování s nimi, ale ti, kdo naše osobní informace ve velkém sbírají a využívají, tak budou činit i nadále. Mezi největší sběratele tak budou i nadále patřit banky, prodejci a poskytovatelé služeb, které jsou placené reklamou. Ti jediní budou mít s GDPR skutečné problémy, protože celé nařízení jde proti logice (ekonomickému modelu) jejich podnikání.

Jediný, kdo naše data ochrání, jsme my sami

GDPR nám dává teoretický nástroj, jak si zjišťovat, jaké informace o nás kdo uchovává. Velké společnosti, jak Facebook, Google a další už tyto informaci poskytují (funkce Control your Content). Soukromý průzkum mezi lidmi mi ale potvrdil, že o této možnosti nemá tušení téměř nikdo.Nové nařízení na používání těchto funkcí nic zásadního nezmění. Stejně jako nic nezmění na tom, že většina uživatelů si nechá kde co povoleno, protože „jinak nic nefunguje“.

Jestli chceme naše data chránit, musíme je neposkytovat, i když (viz předchozí příspěvek) jde o ono zmiňované poskakování po bílých dlaždicích na vydlážděném chodníku.

Další oddíly popisují, o jaké údaje jde.

Kdo jsem

Nejvíce vnímaným osobních údajem jsou právě přímé kontakty: email, telefon, adresa, případně jednoznačné identifikátory jako rodné číslo, číslo pasu, občanského průkazu apod.

Prvním a základním doporučením je minimalizovat možnost, aby si kdokoli tyto informace se mou osobou spojoval: používat více emailových adres, nedávat si telefon do patičky emailů chodících neznámým lidem (adresu si tam nedává snad nikdo).

Kdo je opatrný, nebude používat jako hlavní ten email, který má svázaný s účtem mobilního telefonu.

Kde jsem

Mezi informace, které jsou nejsnáze zneužitelné, patří údaje o mém pohybu, ať už jsou sbírány automaticky (IP adresy, používané WiFi sítě, GPS souřadnice) nebo sdělované vlastním rozhodnutím (fotky, videa, informace o tom co dělám a kde jsem - např. o plánované cestě na hudební festival).

Bránit se automatickému sběru těchto informací je obtížné - např. server, se kterým komunikujeme, IP adresu našeho počítače znát musí. V podstatě jedinou účinnou ochranou se opět stává anonymizace vlastních dat: pokud možno nedávat druhým serverům možnost spojit si informace o mě s konkrétní osobou. Pro většinu služeb je cesta k informacím o nás přes použití ID od Google nebo Facebooku. MojeID má specifické postavení, protože není branou k zásobě dalších informací a je tedy málo zneužitelné.

U informací, které o sobě publikujeme sami, je jedinou možnou ochranou dobře se zamýšlet, komu je zpřístupníme. Vyžaduje to přemýšlení a nastavování profilů, ale když někdo publikuje otrávené tweety o tom, že musí s rodiči k Jadranu na začátku prázdnin a vysílá je do celého světa volně a dává možnost k tomu dohledat fotky ze své zahrady, kde stojí auto s SPZ a na pozadí známý vysílač, nemůže se divit, když si někdo dá jedno s druhým dohromady a ví, že začátkem léta bude vila prázdná.

Je mnoho aplikací, které nabízejí služby spojené s GPS v mobilu. Od map po různé průvodce a plánovače, až po aplikace pro práci s fotoaparátem nebo kešky. Vedou nás k tomu, abychom GPS nevypínali a tak o svém pohybu informovali. Je jen na nás, zda jim důvěřujeme. Základním pravidlem ochrany by mělo být jejich používání na zařízení, ve kterém si nemohou informace spojit s mou osobou, ale to je pro většinu uživatelů s jediným mobilem těžko realizovatelné. Zbývá pak už jen otázka, k čemu máme důvěru.

Jaký jsem

Informace o tom, jaký jsem, jsou velmi různorodé: zájmy, záliby (o těch píšeme sami), ale také zdravotní stav, věk, děti, zaměstnání, příjmy, vzdělání. Spoustu těchto informací kolem nás mají různé evidence. Většina z nich nám slouží (u našeho praktického lékaře) nebo jim nemůžeme zabránit (banka, základní registry státu) a nemá praktický smysl s nimi něco dělat. Snad kromě bank, které informace využívají vlastním způsobem, jsou ostatní u organizací, které je vesměs využívají k našemu prospěchu (do toho počítám i školu, která chce vydat almanach svých absolventů). GDPR dává organizacím pravidla, aby o tato data pečovala a chránila je.

Jiné je to s informacemi, které pouštím do světa dobrovolně. Sem patří např. fitness náramky, informace na sociálních sítích apod. K nim se vztahuje stejně doporučení, jak v předchozím oddílu: maximálně omezit možnost informace svázat s mou osobou. Kromě používání různých emailových účtů a nepoužívání GoogleID a jemu podobných se největším rizikem stává možnost spojit si informace s fotografiemi a videem. Firem, které se zabývají rozpoznáváním kde čeho a tváří ponejvíce na obrazových záznamech je čím dál více a co dřív byla práce špičkových kriminalistů, to dnes dělá kde jaká internetová služba.

Mimochodem, v principu stejně na tom jsou informace ze všech chytrých zařízení, herních konzol a jiných k internetu připojených věcí v domácnosti, i když jde třeba jen o měřič vlhkosti v pokoji. I z jeho dat, společně s daty dalších zařízení, lze vysledovat, kdy doma nebýváte.

Co dělám

Do skupiny „co dělám“ patří informace o mém zaměstnání, podnikání, koníčcích, nákupech nebo brouzdání po internetu. A samozřejmě schůzkách. O zaměstnání a podobných činnostech mnoho z nás informovat chce a musí, ale takové informace posíláme do světa vědomě, většinou s rozmyslem a se zájmem, aby se dostaly k co nejvíce lidem. Těžko tak můžeme bránit, aby nám někdo např. posílal reklamy na lepidla, když se hlásíme k leteckému modelářství.

Naše nákupy sledují samozřejmě obchody, snaží se je ale sledovat i velký bratr na Internetu, protože to je jednou z nejdůležitějších informací pro reklamní průmysl. GDPR posiluje naši pozici, abychom vyměnili svou anonymitu za kus pohodlí, když budeme odmítat registraci v internetových obchodech a ten by pak správně neměl o nás žádné informace uchovávat. Ztratíme tím samozřejmě kus pohodlí, často ale také např. možnost snadno věc vrátit nebo reklamovat. Je tedy otázkou volby, jestli nám to stojí za to. Elektronický obchod je v tomto blízký věrnostním kartám kamenných obchodů: nemá smysl vlastnit karty obchodů, kam přijdeme jednou za několik let, stejně z ní neplynou výhody. Má ale smysl karta obchodu, kam chodím pravidelně. (To neberte jak reklamu na věrnostní karty, ostatně jejich hlavním účelem také je sledovat nákupní návyky.)

Informace ale sledují i vyhledávače a prohlížeče. Vědí, kde brouzdáme i co kupujeme. Nelze říct, že bychom za jejich šmírování nic nedostávali: vždyť z čeho je placen vývoj FireFoxu nebo Opery? Přesto nám nikdo nemůže bránit a nebrání, abychom se tomu bránili. Počínaje jednoduchým občasným odstraňováním cookies, přes důležitější návky, nebýt trvale přihlášení k vlastním účtům. Ano, něco nás to stojí, kromě opakovaného odklikávání různých souhlasů nemůžeme klikat na všudypřítomná tlačítka like. Kdo ale touží po těchto tlačítkách, nemůže toužit po soukromí a ochraně své identity. To je stejný protimluv, jako představa, že si dám na auto fotku a email a budu požadovat, aby si jich nikdo nevšímal.

Kalendář

Další skupinou jsou informace v kalendáři, který většina z nás má v mobilu a někde na internetu u poskytovatele služby. Na rozdíl od mailu, který nabízí kde kdo, s kalendáři je to slabší a pokud nechcete mít data jenom v mobilu (a přijít o ně při ztrátě), nějakou službu potřebujete a velký výběr není. Ochrana např. u Google je podobná, jak u ostatních osobních dat a záleží na tom, co si nastavíte.

Největším rizikem pro kalendáře jsou ale neznámé aplikace v mobilu, které vyžadují k těmto datům přístup. Jejich tvůrci nepodnikají v EU, takže reálná možnost, že by u nich někdo nedodržování GDPR pravidel postihoval, je mizivá. Jedinou ochranou je proto naše opatrnost. Tím prvním krokem je připustit se, že jedno mobilní zařízení, jako univerzální nástroj na všechno od plánování obchodních jednání ke klíčovým kontraktům, po večerní hraní her, není asi nejlepší nápad. Návyk ze světa firemních notebooků používaných doma pro zábavu se může velmi vymstít!

Koho znám

Samostatnou kapitolou v osobních informacích jsou data o přátelích a známých, ať už je máme v adresáři, nebo jsme je dali do světa pomocí linků v sociálních sítích.

Pro data v adresáři patří stejná pravidla jako pro kalendář.

S linky na sociálních sítích musíme nakládat jako v podstatě s veřejnou informací. Stejně jako mobilní aplikace snadno „vykradou“ kalendář a adresář, mnoho aplikací napojených na vaše ID vykrade informace na facebooku nebo jiné sociální síti. Je tedy jen na nás, koho k těmto datům pustíte. A samozřejmě, co v těchto informacích máme. Nicméně ve světě, kde je facebook skupina často jediným fórem pro domlouvání aktivit, se nelze zveřejňování kontaktů dost dobře bránit bez sociální izolace.

Chceme chránit svoje data?

GDPR iniciativa má svůj smysl: nutí velké firmy, aby braly potřebu ochrany osobních informací vážně. Nutí je dávat větší pozor, kdo se k nim dostane a kdo ne. Nemůžeme čekat zásadní změnu v tom, jaké informace kdo sbírá. Pokud by ke změně skutečně došlo, rychle to poznáme: zmizí mnoho bezplatných služeb. A také zmizí několik nejhodnotnějších firem světa. Jejich business stojí na tom, že o nás ví více, než jsme jim sami řekli. I na jejich hodnotě je vidět, jak cenné tyto informace jsou.

Jestli chceme své soukromí chránit, nemůžeme spoléhat na politiky resp. zákonná opatření, ale jenom sami na sebe. Měli bychom si pamatovat, že cokoli pustíme do světa, ve světě je. A pokud se nepohybujeme anonymně, nejsme anonymní.

Souhrn nepopulárních doporučení na závěr:
  • Nezůstávejte přihlášení přes ID kohokoli
  • Dobře zvažte, jestli chcete něčí ID používat někde jinde, téměř vždy je možnost použít email
  • Zvažte, jaký email kde používáte
  • Dobře rozvažujte, jaká videa a fotky zpřístupníte světu a pod jakým účtem
  • Uvědomte si, kde vaše osobní data skutečně jsou (mobilní zařízení, sociální sítě, email, kalendář) a dobře zvažte, komu dáte přístupové údaje, které jim umožní se k těmto datům dostat. Když už instalujete aplikaci nebo se někde registrujte, zvažte, jestli práva, která aplikace požaduje, skutečně chcete poskytnout.

Pan Weasley v Harry Potterovi opakovaně radí: nikdy nevěřte ničemu, o čem nevíte, čím to myslí. Pro nás platí obdobné: nikdy nevěřte službám, o kterých nevíte, z čeho žijí. Většinou jsou to upíři, kteří pijí to nejcennější, co se dá vysát: osobní informace o nás.

Autor: Štěpán Nadrchal | karma: 9.60 | přečteno: 310 ×
Poslední články autora